O crescimento da ocorrência de ataques cibernéticos e ações de inteligência e contra inteligência (espionagem) tem elevado o interesse da sociedade e da comunidade científica em conhecer e classificar as origens e os efeitos destas ações. De fato tem aumentado os investimentos das organizações na busca por novas soluções que sejam capazes de lidar com essas técnicas de invasão de sistemas computacionais.

O Brasil está prestes a atingir a relevante marca de um bilhão de dólares em segurança da informação, segundo dados da consultoria IDC.  Em 2011, o mercado atingiu US$ 779 milhões, dos quais 32% destinados a software, 25% a hardware e 43% destinados a serviços. O cenário é positivo, apesar da lenta recuperação econômica nos Estados Unidos e da estagnação em que se encontra a Europa.

Ainda segundo o IDC, apenas 15% das empresas sabem o que desejam contratar, contra 40% de empresas que têm alguma noção do que querem contratar, mas que precisam de orientação e outros 40% de empresas que realmente não sabem nem por onde começar quando o assunto é segurança da informação. De acordo com o Computer Security Institute (USA), estes são os tipos da criminalidade informática e outras perdas: Erros humanos - 55%; Problemas de segurança física - 20% (por exemplo, desastres naturais, problemas de falta de energia); Ataques internos realizados com o objetivo de lucrar com crime de computador - 10%; Funcionários descontentes em busca de vingança - 9%; Vírus - 4%; Ataques de origens desconhecidas - 1-3%.

Por outro lado o mercado de comércio eletrônico tem apresentado uma significativa evolução nos últimos anos. Este setor teve seu surgimento no final dos anos de 1970 mudando o modelo de  vendas e nos últimos dez anos tem crescido em média, 43,5% (E-BIT, 2012). Alguns dos motivos que levaram a isso foram a popularização da internet e o aumento das velocidades de conexão. Além disso, a grande variedade de produtos, preços baixos, facilidade do uso, a agilidade na comparação de preços e a comodidade foram elementos valiosos para o aumento de 37% no número de consumidores no ano de 2011 em relação a 2010, bem como a disseminação desses serviços (E-BIT, 2012).

O desenvolvimento tecnológico trouxe consigo novas oportunidades, tanto para  operadoras de telefonia móvel, em conjunto com as operadoras de cartão de crédito, quanto para os bancos. Estas parcerias e a near field comunication (tecnologia que permite conectividade sem fio, de curto alcance) possibilitam aos consumidores de comércio eletrônico, um novo meio para se realizar um pagamento, e de forma mais cômoda por meio de seus aparelhos celulares.  

O crescimento do comércio eletrônico trouxe inúmeras preocupações, uma delas refere-se à segurança da informação transmitida nesses serviços. Paralelas a esta evolução e ao grande número de consumidores, estão as ameaças de crimes virtuais cuja finalidade é obter informações pessoais dos consumidores. Além disso, há outra questão que preocupa o usuário: a falta de segurança do software. Segundo Hoglund e McGraw "uma invasão, na maioria das vezes, tem como ponto vulnerável o software que, geralmente, em qualquer computador, é a raiz do problema".

Com a popularização das aplicações web, a sua utilização nos últimos anos apresenta alguma importância para diversos fins, tais como: comércio eletrônico, homebanking, gestão empresarial, etc. Tais aplicações necessitam de soluções mais seguras pelo fato de processarem informações sigilosas. Portanto, é indispensável uma atenção maior durante a fase de desenvolvimento, assim como na especificação dos aspectos de segurança quanto no uso de ferramentas apropriadas, a fim de garantir mais segurança.

Assim cresce a demanda por especialistas em segurança da informação, que é um profissional responsável por prestar consultoria e serviços especializados de projeto, configuração e administração de aspectos relativos à segurança da informação. Não basta apenas saber quais são as etapas geralmente envolvidas no ataque a uma rede local ou quais são os principais tipos de vulnerabilidades exploradas por um atacante ou ainda conhecer maneiras de detectar se um sniffer  encontra-se presente em uma rede local. As exigências são muitas, incluindo experiências relativas a ameaças e vulnerabilidades comuns, associadas com soluções desenvolvidas em arquitetura Web e em projetos de desenvolvimento de software.

A experiência necessária deve incluir também o desenvolvimento da política de segurança, educação, testes de penetração, avaliações de vulnerabilidade de aplicativos, análise de risco e testes de conformidade e também certificações de segurança. Adicionalmente algumas empresas exigem que analista deverá ter domínio das normas de segurança da informação (por exemplo, ISO 17799 / 27002, ISO 17799, ISO 27001, BS7799, PCI-DSS), e outras normas e regulamentos relacionados à segurança da informação e a confidencialidade dos dados, como por exemplo, FERPA, HIPAA e desktop, servidor, aplicação, banco de dados, princípios de segurança de rede para identificação de riscos e análise.

Entre essas técnicas, observa-se a capacidade de conhecer o desenvolvimento de ações no sentido de tomar vantagem de uma vulnerabilidade presente em um sistema, como também se procura identificar as ferramentas desenvolvidas para explorar estas vulnerabilidades. Fato que vem sendo destacado por diversos autores como uma das principais armas dos atacantes nas últimas décadas.

Por esse motivo, o conhecimento do desenvolvimento desses artefatos tem sido incorporado também por analistas de segurança às metodologias de testes de penetração, como estratégia para prevenção de ataques, contribuindo para a pesquisa de novos mecanismos de defesa. Daí a importância dos testes de penetração ou penetrations tests, em inglês.

Teste de Penetração é um teste orientado para a segurança de um sistema de computador ou rede para buscar as vulnerabilidades que um atacante possa explorar. Além de buscar as vulnerabilidades, este teste pode envolver tentativas reais de penetração. O objetivo de um teste de penetração é detectar e identificar as vulnerabilidades e sugerir melhorias na segurança. Entenda-se que vulnerabilidade é uma falha (também conhecido como bug), presente na segurança de um elemento do sistema, que pode ser utilizada por um atacante para deturpar o comportamento esperado deste elemento (normalmente uma componente de software), sujeitando o sistema afetado a problemas como indisponibilidade, obtenção indevida de acessos privilegiados e controle externo por indivíduos não autorizados.

Os profissionais que trabalham com a execução de testes destinados a levantar vulnerabilidades em sistemas acabam invariavelmente se deparando com questões ligadas à validade e a ética de suas ações. Afinal, esses procedimentos são executados através da utilização das mesmas técnicas empregadas por pessoas com intenções maliciosas.

Apesar de algumas dessas ações serem justificadas por "boas intenções", autores como Wilhelm e Engebretson concordam que é necessário uma permissão clara daqueles que serão objeto do teste invasivo para diferenciar um teste de penetração legítimo de uma tentativa de invasão maliciosa.  Tratados coletivamente como "Hackers", este grupo é subdividido normalmente em duas categorias: Black Hat Hackers - indivíduos que executam ataques não autorizados contra sistemas de informação, motivados por ganho material ou financeiro, por mera curiosidade, ou ainda por questões políticas e religiosas.

Seja qual for o motivo, entretanto, todos estão sujeitos a ações legais por parte daqueles que foram alvo de seus ataques; White Hat Hackers, atividade também chamada de Ethical Hacking - indivíduos que executam avaliações de segurança com base em contratos formais, trabalhando em companhias responsáveis pela melhoria das características de segurança dos ambientes computacionais de seus clientes ou procurando vulnerabilidades que poderiam ser exploradas em ataques maliciosos.

Testes de penetração são importantes por várias razões, dentre as quais podemos destacar:

Determinar a viabilidade de um determinado conjunto de vetores de ataque;

Identificar vulnerabilidades de alto risco que resultam de uma combinação de vulnerabilidades de menor risco explorado em uma determinada sequência;

Identificar vulnerabilidades que podem ser difíceis ou impossíveis de detectar com rede automatizada ou software de digitalização de vulnerabilidade de aplicativos;

Na avaliação da magnitude do potencial de negócios e os impactos operacionais de ataques bem sucedidos;

Testar a capacidade dos defensores de rede para detectar e responder com sucesso aos ataques;

Fornecer evidências para apoiar o aumento dos investimentos em pessoal de segurança e tecnologia.

Normalmente os dispositivos analisados são as estações de trabalho, os servidores corporativos, os aplicativos Web, serviços de rede, incluindo DNS, DHCP, entre outros. Em análises mais focadas são avaliados os bancos de Dados e sistemas de armazenamento de arquivos ou, por exemplo, os demais serviços disponíveis em rede como os Firewall, Switches e Roteadores. Existem também serviços específicos como o de Aplicações Web, onde podemos contemplar o de  injeção de código (como SQL Injection),  quebra da autenticação e do gerenciamento de sessões, execução de Scripts entre sites (XSS), referência insegura e direta a objetos, uso de configurações inseguras, exposição de dados sensíveis, ausência de funções de controle de acesso, requisição forjada entre sites (CSRF), uso de componentes com vulnerabilidades conhecidas e redirecionamentos e/ou encaminhamentos sem validação.

Se você deseja saber mais sobre este assunto veja a seguir alguns livros em Segurança da Informação:

ShowNotes
How to Read a Book: The Classic Guide to Intelligent Reading 
How Learning Works: Seven Research-Based Principles for Smart Teaching The History of Information Security: A Comprehensive Handbook Security in Computing

Security Engeneering
Link para compra na AmazonLink para download dos capítulos (o download é disponibilizado pelo próprio autor)
Segurança da Informação: Princípios e Melhores Práticas para a Proteção dos Ativos de Informação nas Organizações Secrets and Lies: Digital Security in a Networked World

The New School of Information Security
Edição em inglês Edição em português Applied Cryptography: Protocols, Algorithms, and Source Code in C Practical Cryptography Handbook of Applied Cryptography (Discrete Mathematics and Its Applications) Building Internet Firewalls The Visible Employee: Using Workplace Monitoring and Surveillance to Protect Information Assets-Without Compromising Employee Privacy or Trust Unauthorised Access: Physical Penetration Testing For IT Security TeamsWho Goes There?: Authentication Through the Lens of Privacy (link para download)

Fontes:

http://hackbbs.org/article/book/ethical%20hacking,%20student%20guide.pdf

http://en.wikipedia.org/wiki/Penetration_test

http://www.amazon.co.uk/Professional-Penetration-Testing-Thomas-Wilhelm/dp/1597494259

http://books.google.com.br/books/about/COMO_QUEBRAR_CODIGOS.html?id=h2RhPgAACAAJ&redir_esc=y

http://webinsider.com.br/2013/03/22/os-investimentos-em-seguranca-da-informacao-no-brasil/

http://tconline.feevale.br/tc/files/0001_3298.pdf

http://dainf.ct.utfpr.edu.br/~maziero/lib/exe/fetch.php/ceseg:2012-sbseg-mc1.pdf

https://www.pcisecuritystandards.org/pdfs/portuguese_pci_dss_glossary_v1-1.pdf

http://www.segurancalegal.com/2013/09/episodio-34-livros-de-seguranca-da.html